Cómo configurar iptables para bloquear todo el tráfico excepto el SSH en Debian Linux?

Compruebe la configuración actual de iptables
iptables -S

El resultado debe estar vacía de la siguiente…

  -P ENTRADA ACEPTAR
  -P FORWARD ACCEPT
  -P OUTPUT ACCEPT

 

Si sus iptables no es más vacío por encima de puertos adicionales a continuación, podría ser abierta en su máquina. En este caso, para limpiar la mesa, escribe iptables -F, a continuación, comprobar la configuración iptables escribiendo iptables -S.

 

Asegurar que ser root

su
 

Introduzca siguientes comandos de configuración de una línea a la vez. Asegúrese de que el orden de entrada es la misma que a continuación, de lo contrario puede bloquear SSH.

   iptables -A ENTRADA -i lo -j ACCEPT
   iptables -A ENTRADA -p tcp -m tcp --dport 22 -j ACCEPT
   iptables -A lo SALIDA -o -j ACCEPT
   iptables -A OUTPUT -p tcp --sport 22 -m estado --state ESTABLECIDO -j ACCEPT
   iptables -P GOTA DE ENTRADA
   iptables -P OUTPUT DROP

En lo anterior, Lo es para el adaptador de bucle invertido que es requerido por algunas aplicaciones y sin que algunas aplicaciones pueden romper.

 

También es posible que desee permitir que todo el tráfico de salida. Por lo tanto, las siguientes reglas se aplicarán en lugar de los anteriores…

   iptables -A ENTRADA -i lo -j ACCEPT
   iptables -A ENTRADA -p tcp -m tcp --dport 22 -j ACCEPT
   iptables -P GOTA DE ENTRADA

 

Si desea permitió establecidos y relacionados con los paquetes a continuación, se aplicarán las siguientes reglas. Sin esto, no será capaz de utilizar Get apt-git y solicitudes. Utiliza el siguiente en lugar de los anteriores 2 conjuntos de reglas.

   Estado iptables -I ENTRADA DE APERTURA -m --state,RELATED -j ACCEPT
   iptables -A ENTRADA -i lo -j ACCEPT
   iptables -A ENTRADA -p tcp -m tcp --dport 22 -j ACCEPT
   iptables -P GOTA DE ENTRADA

Una vez que haya decidido las reglas más apropiado para su sistema, tendrá que guardar sus reglas, de lo contrario no persistir después de reiniciar

Guarde sus reglas a un archivo

iptables-save > /etc/iptables.conf

Lo anterior guarda su regla en un archivo. A continuación, tendrá que cargar sus reglas en cada reinicio

nano /etc/rc.local

Agregue la siguiente línea al archivo, encima exit 0

iptables-restore < /etc/iptables.conf
 

A continuación se presentan algunos significados a las reglas ...

significado establecido que el paquete está asociado con una conexión que ha visto paquetes en ambas direcciones

significado relacionado que el paquete está comenzando una nueva conexión, pero se asocia con una conexión existente, tal como un FTP transferencia de datos, o un error ICMP.

Deja una Respuesta